二重化構成について 


本章では Firewall を2台使用して、二重化構成を構築ずるための手順について説日月しまず。 


セットア、ソプの概要(^98ぺージ） . 

. 一重化機能の動作概要について説明しています。 

セットアップ(一101ぺージ） . 

. 一重化構成を構築する場合の設定手順について説 

S 月していまず。 

運用（->124ページ） . 

. 一重化構成での運用ちまについて説 S 月していま 

ず。 

—重化構成の再セットアップトに2ぺージ） . 

. 再セ、ソトアップの手順が単体構成とは異なりま 

す。再セットアップの隐の差分や手順について説 
S 月しています。 


を意-制限事項(^133ぺージ) 


二重化構成で運用する隐のを意事項や制限事項に 
ついて説 S 月しています。 












セツトアップの概要 


二重化構成について説 S 月します。 


動作概要 


Firewall を二重化することで1台が障害などにより停止しても、もう1台の Firewall へ自動的に 
引き継ぐことじより，障害時の業務停止時闇を最ル限にかえることができます。 

また> 運用系で円 「 eWall -1 のプ□セスの異常を検化した場合や設をされた IP アドレスとの适 
信が途絶した場合にわ> 待機系に業務を引き継ぐことが可能でず。 

W 下の仕組みで Firewall を二重化しまず。 

• 通常運用時 

一運用系側の Firewall で有効にした仮想 IP アドレスを使用してインターネット側とイン 
トラネット側の双方か6アクセスします。 

-運届系/待機あの Firewall は互いにサーバの状態を監視をします。 


インクーネツト側 LAN 


イントラネツト側 LAN 


運用み 


仮想 IP アドレス 



仮想 IP アドレス 
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• 運用系サーバ障害時 


一待機系の円 rewall が運用系のダウンを検出しまず。 

-運用系の Firewall が仮想 IP アドレスをお効にします。 

一待機系の Firewall が仮想 IP アドレスを有効にします。 

ーインターネット側とイントラネット側の双方か6のアクセスは仮想 IP アドレスを使 
用しているので業務の切り替わりを意識することはありません。 


イントラネツト側 LAN 




DMZ を使用ずる場合もイントラネット、インターネット同様に仮想 IP アドレスが引き継がれ 
まず。 
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二重化構成では Firewal に台のほかに管理用サーバがお要となりまず。 Express 5800/ 
FW 300または FW 500をもう1台使用し、管理サーバとして動作させることも可能でず。 


必要な IJ ソース 


二重化を実現ずるためには、 Firewal 吃単体で運用ずるときに比べて新たなリソースが'必要 
です。 

セットアップの前にリソースの計画や設ををしてください。 

• 仮想 IP アドレス(インターネット側)：13 

インターネット側で引き継ぐアドレスです。 

インターネット側のネットワークアドレス内でホ使用の IP アドレスを設定してくださ 
い。 

このアドレスは Firewall 本体のインタフエースに直接割り当てるアドレスではありませ 
ん。 

• 仮想 IP アドレス(イントラネット側)：1つ 

イントラネット側で引き継ぐ'アドレスでず。 

イントラネ、ソト側のネ、ソトワークアドレス内でホ使用の IP アドレスを設定してくださ 
い。 

このアドレスは Firewall 本体のインタフエースに直接割り当てるアドレスではありませ 
ん。 

• 仮想 IP アドレス (DMZ 側)： 1 つ 

DMZ で引き継ぐアドレスです。 DMZ を設けない場合には不要です。 

DMZ のネ、ソトワークアドレス内で未使用の IP アドレスを設定してください。 

このアドレスは Firewall 本体のインタフエースに直接割り当てるアドレスではありませ 
ん。 

• Firewall 間通信用アドレス： 1 つ 

Firewall 闇の監視に使用するアドレスです。 

基本的には、円 rewall 監視専用アドレスとして、 Firewall 本体のインタフエースに割り当 
てて < ださい。 
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セットアッつ 

ti 下のネットワーク構成を例にとって設をを行いまず。 


• 

Firewall 1 (運用系） 



ホスト名： 

fwsi 


インターネット側実 IP アドレス： 

202.247 .5.1/255.255.255.0 


DMZ 側実 IP アドレス： 

172.16 .1.1/255.255.255.0 


イントラネット側実 IP アドレス： 

192.168 .1.1/2 目目. 255.25 5.0 


Firewall 闇通信用 IP アドレス： 

192.168 .2.1/255.255.255.0 

• 

Firewal に(待機系） 



ホストを： 

fws 2 


インターネット側実 IP アドレス： 

202.247 .5.2/255.255.255.0 


DMZ 側実 IP アドレス： 

172.16 .1.2/255.255.255.0 


イントラネット側実 IP アドレス： 

192.168 .1.2/255.255.255.0 


Firewall 闇通信用 IP アドレス： 

192.168 .2.2/255.255.255.0 

• 

仮想 IP アドレス 



インターネ 、ソ ト側： 

202.247 .5.3 


DMZ 側： 

172.16 .1.3 


イントラネット側： 

192.168 .1.3 

• 

プ□キシ ARP アドレス 



インターネ 、ソ ト側： 

202.247 .5.4/255.255.255.0 

• 

管理用 サーバ 



ホスト名： 

nrewalLmgr 


IP アドレス： 

192.168 .1.4/255.255.255.0 

• 

GUI クライアント用 PC 



IP アドレス： 

192.16 8.1.5/25 日. 255.25 5.0 
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設定手順の流れ 


じ(下に設定手順の流れを示します。ここでは二重化に関する設を内容を説明しまず。その他 
の手順については3章を参照してください。 


Firewall - 1管理ヴーバのセツトアツつ 


1.FireWall-1 营理サーバの設定 



2. FireWall-1 管理モジユールのコンフイグレーシヨン 


〇 



〇 


セキユリテイポリシーの設定 


〇 


二重化機能の設定 


〇 


他のネットワーク機器の設定 
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FireWall -1 管理サーパのセツトアツ 



二重化する2台のサーバを管理ずるための管理サーバをセットアップします。(下の条件を 
満たずコンピュータに管理モジュールをインストールしてください。 Express 目800/ 
FW 30 日または FW 50 日をもう1台用意し、管理サーバとして動作させることも巧能です。 

オペレーテイングシステム ： Windows 2000 Server(SP1. SP2 、 SP3 、 SP4 )、 

Windows 2000 Advanced Server ( SP 1、 SP 2、 SP 3、 
SP 4)、 

Windows 2003 Server, 

SolarisS / UltraSPARC (32- bit . 目 4- bit )、 

Solaris 9 / UltraSPARC (目 4- bit )、 

RedHat Enterprise Linux 3.0 (kernel version 2.4.21) 


Windows 

ディスク容量： 
六モリ： 


300 MBW 上 
256 M 目 W 上 


Linux 

ディスク容量： 
六モリ： 


300 MBt 又上 

256 M 目 t (上(推奨日1 2 MBW 上） 


Solans 

ディスク容量： 
六モリ： 


T 00 M 目 W 上 

1 28 MBW 上(推奨 256 MBJ：i 上） 


上記は、2005年5月現在の情報でず。令後のパ、ソチリリースにより変更になる可能性があ 
ります。 
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Firewall-1 管理ヴー / f の設定 

Express 5800 / FW 30 日または FW 50 日を管理サーバとして動作させる場合の設定例です。]:又 
下の手順に従って設定を行って<ださい。 

1. 初期導入ディスクじよる設定を巧う。 

3章の「1.初期導入設を用ディスク(こよる設定」を参照し、初期設定と管理クライアントの接続を 
巧ってください。 

p-oira 

r 巧期導入設定用ディスクの作成 J - r 备入力項目の設赴において、「ヴーバタイプ J は憎理サー 
ノて」にチェックをしてぐださい。 

2. 基本設定ツールによる設走を行う。 

p-oira 

3章の r 吕.システムのセットアップ J - 「薑本設定ツールによる設定 J を参照し、管理サーバとし 
て使用ずるための設定を巧ってください。サーバタイプの設定では、 
に. Mana 旨 ementServer 」 管理ヴーバになつていることを確認してください。 


# fwsetup 

Firewall Server conflauration tool Ver.2.4-2 

server type 

1. Firewall 

2. Management Server 

select number[2] .... 

〈略〉 

# shutdown -r now 


確認 


3. 設を終了後，再起動する。 
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FireWall -1 管理モジユールのコンフィグレーシヨン 

管理モジュールを管理サーバへインストールします。じ(下の手順でコンフィグレーションを 
巧ってください。図中の〈略〉の設走する項目じついては、3章の「2.システムのセットアッ 
プ」- 「 FirewWall -1 のコンフィグレーション」を参照してください。 


持 cpconfiq 


We 丄 come to Check Point Conflauration Program 

Please read the following license agreement. 
Hit ’ENTER' to continue... ........ 


Do you accept all the terms of this license agreement (y/n) ? y ■■ 
Please select one of the following options : 

Check Point Enterprise/Pro - for headquarters and branch offices. 
Check Point Express - for medium-sized businesses. 


{1)Check Point Enterprise/Pro. 

{2) Check Point Express. 

Enter your selection {1-2/a-abort) [1] : 

Select installation type : 


{1)Stand Alone - install VPN-1 Pro Gateway and SmartCenter Enterprise. 

{2) Distributed - install VPN-1 Pro Gateway, SmartCenter and/or Log Server. 

Enter your selection {1-2/a-abort) [1] : 2 ... 


① 

.⑨ 


.③ 


.④ 


① FireWall -1 管理モジュールのコンフィグレーシヨンをする。 

② 使用許諾に承認した場合は < Y > キーを押す。 

③ インストールずる製品を違択する。 

(1) の 「Check Point Enterprise / Pro 」 を違択し、インストールします。 

④ インストールずるモジュールを違択ずる。 

「2」を逞択し、インストールします。 
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Select installation type : 


(1) VPN-1 Pro Gateway. 

(2) Enterprise SmartCenter. 

(3) Enterprise SmartCenter and VPN-1 Pro Gateway. 

(4) Enterprise Loq Server. 

( 己） VPN-1 Pro Gateway and Enterprise Log Server. 
Enter your selection (1-5/a-abort) [1] : 2 . 


Please specify the SmartCenter type you are about to install : 


(1) Enterprise/Pro Primary SmartCenter. 

(2) Enterprise/Pro Secondary SmartCenter. 

Enter your selection (1-2/a-abort) [1] : 1 ............ 

This program will guide you through several steps where you 
will define your SVN Foundation configuration. 

At any later time, you can reconfigure these parameters by- 
running cpconfig 

(B§) 

************* Installation completed successfully ************* 

Do you wish to start the installed product (s) now? (y/n) [y] ? y .. •••• 

cpstart : Power-Up self tests passed successfully 

(挺） 

Firewall - 1 : This is a Management Station. No security policy will be loaded 
Firewall - 1 started 

# shutdown -r now .......................... 


① 


② 


③ 


④ 


① インストールするモジュールを違がする。 

「2」を逞択し、管理モジュールをインストールします。 

② インストールする管理モジュールのタイプを違択する。 
「1」を違択し、 Primary として使用しまず。 

③ 管理モジュールを起動させる。 

④ 再起動する。 
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Firewall 本体のセツトアツ 



円 reWall - l のコンフイ グレーシヨ ン 

二重化構成の場合、コンフィグレーション手順が3章とは一部異なりまず。図中の〈略〉の設 
をする項目については，3章のに.システムのセットアップ」- rFi 「 eWall -1 のコンフイグレー 
シ ョン」を参照してください。 


# cpconfio 


Welcome to Check Point Co 打 riauratio 打 Program 

Please read the following license agreement. 
Hit 'ENTER' to continue... .... 


Do you accept all the terms of this license agreement (y/n) ? y ■■ 
Please select one of the following options : 

Check Point Enterprise/Pro - for headquarters and branch offices. 
Check Point Express - for medium-sized businesses. 


(1) Check Point Enterprise/Pro. 

(2) Check Point Express. 

Enter your selection (1-2/a-abort) [1] : 

Select installation type : 


(1) Stand Alone - install VPN- 

(2) Distributed - install VPN-1 Pro Gateway, SmartCenter and/or Log Server. 

Enter your selection (1-2/a-abort) [1] : 2 .. 


① 

.② 


.③ 


.④ 


① FireWall -1 のコンフィグレーシヨンをずる。 

② 使用許諾に承認した場合は < Y > キーを押す。 

③ インストールずる製品を逞択する。 

(1) の 「Check Point [〇ぉの「156/ド「〇」を逞択し、インストールします。 

④ インストールずるモジユールを逞択ずる。 

「2」を選択し、インストールします。 
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VPN-1 Pro Gateway. 

Enterprise SmartCenter. 

Enterprise SmartCenter and VPN-1 Pro Gateway. 
Enterprise Log Server. 

VPN-1 Pro Gateway and Enterprise Log Server. 


Enter your selection {1-5/a-abort) [1] 


Is this a Dynamically Assigned IP Address gateway installation ? (y/n) [n] ?. 

Would you like to install a Check Point clustering product (CPHA, CPLS or State 
Synchronization) ? (y/n) [n] ? y ......... 


IP forwarding disabled 

Hardening OS Security: IP forwarding will be disabled during boot. 
Generating default filter 
Default Filter installed 

Hardening OS Security: Default Filter will be applied during boot. 
This program will guide you through several steps where you 
will define your Check Point products configuration. 

At any later time, you can reconfigure these parameters by 
running cpconfig 


① 

.② 

.③ 


① インストールするモジュールを違択する。 

「1」を選択し、インストールします。 

② Dynamically Assigned IP Address Module をインストールずるか問い合わせがあるの 
で、 < Ente 「> キーを違択する。 

③ Check Point clustering produ はをインストールするか聞い合わせがあるので、 < Y > 
キーを押ず。 


Select installation type : 


1 2 3 4 5 
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Configuring Secure Internal Communication... 

The Secure Internal Communication is used for authentication between 
Check Point components 


Trust State : Uninitialized 
Enter Activation Key: 
Retype Activation Key: 




The Secure Internal Communication was successfully initialized 

initial—module: 

Compiled OK. 

Hardening OS Security ： Initial policy will be applied 
until the first policy is installed 


In order to complete the installation 
you must reboot the machine. 

Do you want to reboot? (y/n) [y] ? y . 


.① 


.② 


① FireWalM 管理サーバと Firewall 商での通信に使用するパスワードを設をしてくださし、 

② 終了後、再起動しまず。 
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セキ ユ IJ ティポ IJ シーの 設定 


Firewall オブジェクトの作成 

1. 2 台の Firewall のオブジェクトを作成ずる。 


— ViewObjectTree のに heckPoint] を選択し、ちクリックします。 

[New Check Point] 一 [VPN- 1 Pro/Express Gateway] を選択しまず。 


—オブジェクト： Gateway 
名前 ： fws1 、 fws2 

内容 ： IP Address には FireWall-1 管理サーバと同じネットワークの実 IP アドレス 

を設をしてください。 

一 Fire 机 all-1 管理サーバか 6Firewall を管理(セキュリティポリシーの設定や□グ表示など)ず 
るためじは、 FireWalM 管理サーバと Firewall との間で通信を巧うための設をが必要でず。 
General ぺージ で [Communication...] をクリックし、 FireWall- 1 の〕ン フィグレーシヨ ン時 
に設定したパスワードを入力してください。 



田 Topology 
NAT 

Authentication 


田 Loss and Masters 
Capacity Optimization 
白 Advanced 


Check Point Gateway - General Properties 


Uame. 

|twsl 


IP Address： 

1202247,61 

Qet address 1 f Dynamic Addres 

Comment 

1 


Color： 


■ -1 




Communication.. I DH | 


「促 XR60 


[Linux 


Type [Check 卜 oin, £n(etpr >se/Pro 

k Point Products - 


□i が' sCIwnt Policy Server 
_lSecon わ y SmartCenter Server 




ぶ j 


The Activation Key that you specify must also be used ir the module configuration 


Addition。！ Products： - 

曰 Contieure Servers.. I 




Confirm Petiv が ioi Key： p******* 
Trust state： 


[Uninitial zed 
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Topology ページで全インタフェースを設定しまず。 



2 . 下のクラス女オブジェクトを作成ずる。 

— ViewObjectTree のに heckPoint] を選択し、ちクリックします。 

[New Check Point] 一 [VPN-1 Pro/Express Cluster] を選択します。 

— オブジェクト ： Gateway Cluster 
を目り ： fws_cluste 「 

内容 ： IP Address じはインターネット側の仮想 IP アドレスを指定してください。 

-General Properties Gateway Cluster Properties - General Properties 


3rd Party Contigurst が） 

日 .. Topotocy 

NAT 

Name.' 

IP Address^ 

tWi.cluStel 

202.247 .5.3 

get address 1 f Dynamic Address 


Qomment： 



: Capacity Optimization 

.. 

，l 

日 Advareed 



Version 

NGXR60 

jJ 


OS： 

Linux 

•rj Get OS 1 


Type 

Check Point £nterprise/Pro 

zl 



OK 1 Cancel Help 
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3. Cluster Members ぺージで、手順 1 で作成した 2 台の Firewall オブジェクト (fwsi と fws2) を追力□す 
る。 



4. 3rd Party Configuration ページで、設定を磕認ずる。 

「Use State Synchronization 」 ( こチ王ックが付いていることを確認します。チ王ックが付いてい 
ない場合は、チェックをかけます。 

「Hide Cluster Members’ outgoing traffic behind the Cluster’s IP Address 」 にチェックが付 
いていないことを確認しまず。 
































己. Topology ぺージじてインタフエースの設定をずる。 


[Edit Topology ] をクリ、ソクしまず。 

IP アドレスには、仮想 IP アドレスを設をし、 
「 Cluster 」 を設をしまず。 

同期巧ネットワークの IP アドレスは設定せず、 
す。 


Network Objective プルダウンメニューより、 
プルダウン;ニューより、 r 1 st Sync 」 を設をしま 



Add network I Get all members' topclo^y I Cev/ tc^olosy to cluster irri 


|7 み ow net mask 
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二重化用ルールの追加 


二重化機能を使用ずるためじは、サーバ闇の状態監視用通信を通ずためのルールを設定ずる 
必要がぁリまず。 

1. ニューの [ Manage ]^ に ervices ...]^[ New ] を選択し、以下のサービスを定義ずる。（を前は一 
例です。化のを前でも構いません。） 


オブジェクト : TCP 
を前 : cipjcp 

ポート ぶ8001 



オブジェクト : UDP 
を前 ： clp.udp 

ポート ：28002 



p-oira 

上記ポート番号は基本設定ツールにおける既定値のポート番号でず。二重化機能の設定でボー 
卜番号を変更ずる場合はその設定に合わせてサービスの定義を行ってください。 


2 . 上記の二重化通信用のルールを追がする。 


項目 

Source 

Destination 

Service 

Action 


設を値 
: fws 1 、 fws 2 
: fws 2 、fwsi 
: cIpJcp , clp—udp 
: accept 




































二重化用設定事項 


二重化機能を使用するためには、設定事項として、 [ Policy ] - [Global Properties ] - [NAT - 
Network address translation ] ぺージで 「Automatic ARP configuration 」 の チて、ソクを 外す 
必要があります。 



チェックを外す 


セキュリティポリシーのインス I -ール 

セキュリティポリシーの作成が完了したら、ポリシーをインス!-ールしてください。2台の 
Firewall にインストールされまず。 
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セキュリティポリシーのバックアップ 


二重化構成の場合、ポリシー情報は Firewall - 1管理サーパに保をされまずが、情報のリスト 
アの際には、管理サーバと Firewall 本体の両方のバックアップデータがあ要となリまず。管 
理サーバとして Express 5800 / FW 300または FW 500を使用している場合には、3章の「4. 
バックアップ」コマンドによるバックアップを参照してください。 FireWall -1 モジュールの 
バックアップちまと同じです。 

その他のサーバを使用している場合には、該当するファイルのバックアップがあ要となりま 
す。化 J 下のバックアップファイル取得方まは、 Windows マシンを使用した場合の一例で 
す。） 


1 . コマンドプ□ンプトより， Firewall - 1 を停止させる。 

C: ¥> cpstop 


2 . 停止後、 W 下のコマンドを実行する。 

「 export . tgz 」 バックアップファイルが作成されます。 

C:¥> cd C: ¥WINNT¥FWl¥R60¥fwl¥bin¥upgrade tools 
> upgradeexport.exe export 


I チェック I 

「C:¥WINNT¥F\An¥R60」 は、 RreWalM をインストールしたディレクトリになります。インス 
トールディレクトリによって異なります。 

3. バックアップファイルを取得後、円 「 eWall -1 を起動します。 


C :¥ > cpstart 


I n-O セキュリティポリシーの設定の説明において使用している画像イメージは、 FireWall - l の 

信重卓 FeaturePack によって異なる場合びありまず。 












二重化機能の設定 


二重化機能の設定ち法を説 S 月します。設定は基本設定ツールか6行います。両 Firewall で全 
く同じ設をを巧ってください。 

二重化機能の設定項目およびそれぞれの制限事項は t (下のとおりでず。 

• パートビート送信間隔 

八ートビートのち信圍隔(秒）を指走しまず。 

• 八ートビートタイムアウト時間 

八ートビートが途絶して柜手 Firewall がダウンしたと認識するまでの時闇(秒)を指をしま 
す。八ートビートを信聞隔より大きい値を指定してください。 

• Firewall 起動待ち時間 

起動樹こ柜手 Firewall の起動時聞を待ち合わせる時圍(秒)を指をします。八ートビートタ 
イムアウト時圍より大きい値を指をしてください。 

• 内部通信用 TCP ポート番号 

2台の Firewal 情で通信を巧うための TCP のポートを号を指をします。 

• 内部通信用 UDP ポート番号 

2台の Firewall 園で通信を巧うための UDP のポート番号を指をします。 

• Firewalll のヴーバ名 

ホスト名は FQDN お式ではなく、ドメインをを除いたを前を指をしてください。 

• Firewal にのヴーバ名 

ホスト名は FQDN おまではなく、ドメインをを除いた名前を指走してください。 

• 円 rewall 1 のインタコネクトアドレス 

相手 Firewall を監視するためのアドレスとネットマスクを入力します。 

• 円 rewal にのインタコネクトアドレス 

相手 Firewall を監視するためのアドレスとネットマスクを入力します。 

• 仮想 IP アドレス 

二重化機能を使用ずる場合、 Firewall へのアクセスは原則仮想 IP アドレスを使用する必要 
があリまず。 

サーバ圍監視専用インタフェースを除く全インタフェースに仮想 IP アドレスを設定して 
ください。 

• 監視対象アドレス 

監視対まとして設定された IP アドレスとの通信が途絶した場合、待機系 Firewal にフェイ 
ルオーバが巧われまず。本項目の設定は省略することができます。 

• プ□キシ ARP アドレス 

S ね ticNAT 機能を使用ずる場合，タト部公開アドレスとして使用するアドレスを指をして 
ください。 
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• 運用系 Firewall 

運用系の Firewall を指をしまず。 

• 自動フェイルバック 

自動フェイルバックを行うかどうか設定します。自動フェイルバックを auto にした場 
合> 運用系ダウン後、待機系に業務が引き継がれている状態で> 運用系が復帰(起動)す 
ると，自動的に運用系に業務を戻します。 

基本設定ツールでの設定手順を示しまず。 tTF の内容は、本章の r セットアップ」で示した 
ネットワーク構成を例にとって説明しまず。 


# fwsetup ................. 

Firewall Server configuration tool Ver.2.4-2 

<略> . . ■■■■■. 

use cluster system? (y/n)[n] : y . 


① 

感 


①管理クライアントから Firewall の設定:ツールである fwsetup コマンドを起動ずる。 

感 ruse cluster system 」 の項目までは、く ENTER > キーを押して進み、設定内容を確認す 

る。 


- START CLUSTE 民 P 民 0 configuration - 

CLUSTE 民 P 民 0 Configuration Tool Ver 1.0 -4 

- cluster configuration - 

Input HB interval{0 - 目目目） [0] : .. 

Input HB timeout (1 - 目目目）山 : ■■■■. 

Input WAIT Timeout{ 1- 999 ) [5] : . 

Input API TCP port number[28001] : . 

Input HB UDP port number[28002] : . 

Input serverl host name : £wsl.■■■■ 

Input server2 host name : £ws2 . 


..① 

..② 

..③ 

..④ 

..⑥ 

.⑥ 

..⑦ 


③二重化機能を使用する。 < Y > キーを押す。 

① 八ートビートを信闇隔(砂）を人力する。 

② 八ートビートタイムアウト時闇(秒）を入力する。 

③ 起動時じ柜手 Firewall の起動を待ち合わせる時闇(秒）を入力する。 

④ 内部通信用の TCP ポート番号を入力する。 
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⑤内部通信用の UDP ポート番号を入力する。 

愈 FirewalM のサーバさ!（ホストを）を入力する。 

ホスト名は FQDN 形式ではなく、ド;<インをを除いたを前を指をしてください。 
⑦ Firewal にのサーバを（ホストを）を入力する。 

ホスト名は FQDN 形式ではなく、ドメイン名を除いたを前を指定してください。 


- serve 

Input fwsl 

r CO 打 riguratio 打 - 




interconnect address . 




adaress{1) 

:192.1 白 8.2.1 




netmask{1) 
address{2) 

: 255.255 .255.0 




No. address/netmask 




1 192 . 

168.2 .1/255.255.255.0 




{"a"=add 1 

"m num"=modify | "d num" 

=delete 

"1"=list 

Enter=next) : 

Input fws2 

■, , 11 




:192.1 白 8.2.2 




address{1) 

netmask{1) 
address{2) 

: 255.255 .255.0 




No. address/netmask 




1 192 . 

168.2 .2/255.255.255.0 




{"a"=add 1 

"m num"=modify | "d num" 

=delete 

"1"= list 

Enter=next) : 


.① 


.感 


①運用系 Firewall の Firewal 間監視用アドレス（インタコネクトアドレス）とネ、ソトマスクを 
入力する。 

インタコネクトアドレスは16個まで設定可能でず。 

設定後に一覽を表示します。 

一覧から設定内容の追力日、および修正、削除、一覧の再表示をキー入力から操作できま 
ず。 


<A> キー + <Ente「> キー： 


インタコネクトアドレスを追力□しま 
す。 


く 1\/1>キー + r 修正ずる一覧の番号」+く Ente 「>+— :指定した番号の設定を修正します。 

く D > キー + r 削除ずる一覧の番号」+く £が6「>丰一：指定した番号の設定を削除しまず。 

く1_>キー+く Enter >+— : —覧を再表示しまず。 

く Enter >+— : 次の項目へスキップします。 

® 待磯系 Firewall の Firewall 闇監視用アドレス（インタコネクトアドレス）とネットマスクを 
人力する0 
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- group configuration 


No. 


name 

aroupO 


- group fip configuration 


Input FIP address . 

address(1) : 202.247 .5.3 


netmask(1) 
address(2) 
netmask(2) 
address(3) 
netmask(3) 
address(4) 

No. address 


255.255.255.0 
172.16.1.3 

2 己己 . 2 己己 . 2 己己 . 0 

192 ， 168 .1.3 
255.255.255. 0 


1 2 02.247 .5. 3/2 55.255.255.0 

2 172 ， 168 ， 1 ， 3/25 己， 2 己己， 25 己 ，0 

3 192 ， 168 ， 1 ， 3/2 己己， 25 己， 2 己己 ，0 


("a"=add | "m num"=modi£v | "d num"=delete | "l"=list | Enter=next) : 


① 


①仮想 IP アドレスを人力ずる。 

仮想 IP アドレスは8個まで設定巧能です。 

設定後に一覧を表示しまずので、確認、または、変更して < Ente 「> キーで進みまず。 

二重化機能を使用する場合、サーバへのアクセスは、原則仮想 IP アドレスを使用する'必、要が 
IヒントI あります。 

サーバ 間 監視き用インタフエースじ(外の全インタフエースに仮想 IP アドレスを設をしてくだ 
さい。 
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< 設定例 > 

• 202.247 .5.254 と192.168 .1.254 のどちらかと通信が途絶した場合にフェイルオー 
パを行いたい場合。 

No . address 

1 202.247 .5.254 

2 192.168 .1.254 

• 202.247 .5.254 と192.168 .1.254 の双方と通信が途絶した場合にフェイルオーバを 
わしげこし'' 場含。 

No . address 

1 202.247 .5.254 | 192.16 8.1.254 

• 202.247.目.日と202.247.5254の双方と通信が途絶した場合か、1目 2.168.1.254 と 
通信が途絶した場合にフェイルオーバを行いたい場合 

No . address 

1 202.247 .5.5 | 202.247 .5.254 

2 192.168 .1.254 


group 0 ipw configuration 


Input IPW address ............... . 

address (1) : 202.247.5 .xxx | 202.247.5 .xxx 
address(2) : 

No. address 

1 202.247 . 曰 . xxx | 202.247 . 曰 . xxx 

("a"=add | "m num"=modify | "d num"=delete | "l"=list | Enter=next) : 


.① 


①監視する IP アドレスを入力ずる。 

「 I 」で区切って複数の IP アドレスを人力することができまず。その場合は、指をした全 IP 
アドレスとの通信が途絶した場合にリソース異常となりまず。 

監視する IP アドレスは8個まで設を可能です。ただし、「1」で区切った IP アドレスはを体 
で1つの IP アドレスとしてカウントします。 

設定後に一覧を表示しますので、確認、または，変更して < Ente 「> キーで進みます。 




監視かまとして設をされた IP アドレスとの通信が途絶した場合、待機系サーバにフ I イル 
才ーバが行われます。 
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groupO proxy arp configuration 


Input proxy address ................. 

address(1) : 202.247. 己 . 4 
address(2) : 

No. address 
1 202.247. 己 . 4 

("a"=add | "m num"=modify | "d num"=delete | "l"=list | Enter=next) : 


’① 


①設定するプ□キシアドレスを指をする。 

プ□キシ ARP アドレスを人力します。プ□キシ ARP アドレスは256個まで設を可能で 
ず。 


設定後に一覧を表示しまずので、確認> または、変更して < ENTER > キーで進みます。 


■i プロキシ ARP アドレスでは、運用系サーバにて S は ticNAT を行う場合の公開用 IP アドレスと 

なります。 S は ticNAT で公開する IP アドレスを全て登録してください。 


- groupO resource configuration - 

Input primarv server hostname(fwsl,fws2)[£wslj 
Input fallback policy(1 : auto, 2 : manual)[manual] 
- END CLUSTE 民 PRO configuration - 

〈略〉 


① 運用系サーバを人力する。 

② 自動フェイルバックを巧うかどうか入力する。 


① 

② 


I M-O 上記の設定は fwsl 、 fws 吕で同じ設定にしてください。 

上記の設定後は、本体を再起動させる'必要がありまず。じ(下のコマンドを入力してくださ 
し、。 


# shutdown -r now 
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他のネットワーク機器の設定 


イントラネットと DMZ に存在ずるネットワーク機器については、デフォルトルートの設定 
としてサーバ I こ設定したそれぞれのネ、ソトワークの仮想 IP アドレス（イントラネット側: 
192.168.1.3、 DMZ 側；172.16 .1.3) を指定ずるようじしてください。 

【参考】 NAT のためのルーテイングテーブル 

Firewall の二重化構成において、 DMZ 上や□一カルネ、 ソ ト内のサーバのアドレスを静的に 
NAT (アドレス変換）し、インターネ 、ソ ト上に公開する場合、ルーティングテーブルとプ□キ 
シ ARP テーブルの設をを別途行う必要があります。 

例として、じ(下のネットワーク構成の場含、公開用 WWW / FTP サーバを該当ずるホストと 
ずると、以下のようなルーティングテーブルとプ□キシ ARP テーブルの設定:を円 rewall へ巧 
う必要があります。 

「― — — ； 202.247 .5. 127 



destination 202.247.5.127 
netmask 2己己.2己己.2己己.25己 
gateway 172.16 .1.2 

変換後のアドレスを destination 、 実際のアドレスを gatewayl こ指定してください。 
fwsetup の static routing の項目で設定することができます。 

プ□キシ ARP の設定じついては、前述の r 二重化機能の設定」を参照してください。 
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運用 

二重化構成の運用について説 S 月します。 


障害発生時の対応 


運用系サーバ1こおいて障害をお化した場合には、フェイルオーバが発生し、 

待機系サーバへ業務が切り替わります。その際に基本設定ツールで指定した管理をの E-mail 
アドレス宛にメールが送信されます。 

• ダウンしたとをのメッセージ 


Subject: WARNING : [qroupO] is downed 
!!WARNING!! 

[group0] is not active on Firewall(fwsl.nec.co.jp[202.247.5.1]). 
Urgently check it. 

If you recieved a previous message "NOTICE : [groupO] changes 
to the active rirewall" from fwsl.nec.co.jp [202.247 . 己 . 1], 
both groups are downed. 

Urgently check both groups!! 


♦ フェイルオーバしたときのメッセージ 


Subject: NOTICE : [groupO] chnges to the active firewall 
!!NOTICE!! 

[groupO] chnges to the active 
firewall(fws2.nec.co.jp[202.247.5.2]). 

Urgently check another failed firewall. 


H-O ダウンした要因びネットワークの通信障害などの場合、ダウンしたとさのメッセージびサ ー 
バ巧にお留し、障害復旧後にを信されることびありまず。メッセージを受信した5必ずその 
発信時刻を確認ずるよ5にしてください。 

メールを受信した 6 Express 5800 / FW 300の状態を殖認し、システム□グか6フェイル 

オーバが発生した要因を殖認し、あ要な対処を行って<ださい。メッセージ内容、対処ちま 

等は r 付録 C 二重化機能の□グメッセージ」を参照してください。 

• 監視対ま IP アドレスとの适信途絶、あるいは、 FireWalM プ□セス消滅が発生し、待機系 
Firewal に業務を引き継いだ場合、 t (後、そのサーバ上での業務の起動が拒否されるよう 
になりまず。その Firewall が業務の起動拒否状態かどうかは、 [cipstat - s ] の 
[ STARTING ] で確認できます。 

• 運用系 Firewall が起動拒否状態のまま待機系 Firewall で業務を遂巧している場合、待機系 
Firewall で監視対象 IP アドレスとの适信途絶，あるいは Firewall - 1プ □ セス消滅が発生し 
てち 、待機系 Firewall から運用系 Firewall へは業務が引き継がれず、弓 I き続き待機あ 
円 rewall で業務が遂行されまず。但し、上記のを件においても相互のインターコネクトの 
通信が途絶した場合においてはこの限りではな<、起動拒否状態であってわ運用系 
Firewall で業務が遂行されます。起動拒否状態は、次の手順により解除されまず。 
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[監視対象 IP アドレスとの通信途絶が原因の場合] 

-監視対象 IP アドレスとの通信復帰 
- cipgrp コマンドによって業務を起動 
- Firewal 席起動 

[ Firewall - 1プ□セス消滅が猪生した場合] 

- cipgrp コマンドによって業務を再開 
- Firewall 再起動 



コ 7 ンド U ファレンス 


# clpstat -S 


* serverO : fwsl 
serverl : fws2 


CLUSTER STATUS 


1.0-1.4 
serverO serverl 


SERVER STATUS . ONLINE ONLINE ■■■• 

GROUP0 STATUS . ONLINE OFFLINE ■ 

POLICY 1st 2nd .. 

STARTING . ALLOW DENY . 

<A> groupO-ipwO ONLINE ONLINE " 

192.168.1.254 . 

<U> groupO-fipO ONLINE OFFLINE 

202.247 .5.3/255.255.255.0 . 

<U> group0-parp0 ONLINE OFFLINE 

202.247. 己.己 ....... 

<U> groupO-execO ONLINE OFFLINE■ 

S : /opt/necfws/bin/ckcstat . 

E : /opt/necfws/bin/ckcstat .. 

<U> groupO-execl ONLINE OFFLINE 

W : /opt/necfws/bin/ckfwalive 
E : /opt/necfws/bin/ckfwalive -k 


状態表示、運用系、待磯あの切替等はコマンドを使用して巧います。 

情報表示 

現在の状態，設を内容を殖認するじはじ(下のコマンドを実行します。 

clpstat -S [-h host name] 

-n 

-i [-h host name] 

状態、設定情報の表示を行います。 

〈オプション〉 

- S または引数なし....を種状態を表示しまず。 

-n . インタコネクトマップを表示します。 

-i . 各種設をを表示します。 

- hhos し name . 操作対象サーバを。指をなしの場合、コマンド実行サーバが対まとな 

U まず。 


①を ⑤®©©⑦⑥® ©©⑩⑩®® 
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cipstat - s の各項目について 


①サーバを （1 台目） 


⑧ 

IPW リソース監視アドレス 

②サーバをに台目） 


⑨ 

FIP リソースの状態 

③サーバの状態 



※ IPW リソースと同様 

ONLINE :八ートビートが受信されている 

⑩ 

円 P リソース設定アドレス/ネッ 

OFFLINE :八ートビートが受信されていない 

⑩ 

PARP リソースの状態 

@グループの状態 



《 IPW リソースと同様 

ONLINE 

正常 

⑩ 

PARP リソース設定アドレス 

OFFLINE 

停止 

⑩ 

EXEC リソースの状態 

ERROR 

異常 


《 IPW リソースと同様 

UNKNOWN 

不明 

〇 

EXEC リソース起動時実行パス 

⑥フェイルオーバポリシ 


S :監視なし 

® グループ起動の許巧/禁止 


W :監視あり 

ALLOW 

許可 

⑩ 

EXEC リソース停止時実行パス 

DENY 

禁止 



UNKNOWN 

不明 



⑦ IPW リソースの起動種別と状態 



< A > 

全サーバ起動 



< U > 

単サーバ起動 



ONLINE 

正常 



OFFLINE 

停止 



ERROR 

異常 



UNKNOWN 

不明 
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片 clpstat - i 


================= CLUSTER INFORMATION ============= 


SERVER 


f wsl 


CLUSTER : 
STARTUP 
WAIT timeout 
HB port 
HB interval 
HB timeout 
API port 
API timeout 
LOG port 
ping timeout 
RECOVER 
RETRY count 

SERVERO : fwsl 
INTE 民 CONNECTO 
INTERCONNECT! 

SERVERl : fws2 
INTE 民 CONN 巨 CTO 
INTERCONNECT! 


AUTO ■■■■ 

5 . 

24002 ■■… 

1 .. 

5 . 

24001 ■■■■ 

30 . 

0 . . . 

3 .■■■■■ 

RESTART 
5 . 


192.168 .1.1/255.255.255.0 
192.1 白 8.2.1/255.255.255.0 


192.168 .1.2/255.255.255.0 
192.1 白 8.2.2/255.255.255.0 


GROUP 0 : groupO ■ 
START 
FAILBACK 
ENVIRONMENT 
RECOVER 
RETRY count 
FAILOVER policy 

IPWO : groupO-ipwO 
TYPE 

POLLING address 
RECOVER 
RETRY count 

FIFO : groupO-fipO 
TYPE 
ADDRESS 
INTERFACE 
PING count 
ARP count 
RECOVER 
RETRY count 


PARPO : groupO-parpO 
TYPE : 

IP ADDRESS : 

MAC ADDRESS : 

INTERFACE : 

PING count : 

ARP count : 

RECOVER : 

RETRY count : 

< 次ぺージに続 <> 


AUTO . 

MANUAL . 

ACT NORMAL ■■… 

IGNORE . 

0/0 . 

0 : fwsl1:fws2 


AS 民 . 

192.1 白 8.1.254 

FAILOVER .I 

2/2 . 


US 民 . 

202.247 .5.3/255.255.255.0 
ethO : 1 . 

0 ... 


RETRY 

5/5 .... 


US 民 . . . . 

202.247 .5.5 . 

00 : AO :34: 1A:4C:D3 
ethO . 

0 .. 


RETRY 

か…. 


① @00© ⑥⑦⑧⑨⑩⑩⑩⑩ ⑩⑩ ® ⑩⑩⑩®®©勢®©®©麵 
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cipstat -i の各項目について 


© CLUSTERPRO AE の起動方法 
YES :自動起動 

N 0 :手動起動 

® 起動待ち合わせ時闇(秒） 

(3) 八ートビート受信用 UDP ポート番号 
® 八ートビート送信闇隔(秒） 

© 八ートビートタイムアウト(秒） 

⑥ API 用 TCP ポート番号 
® API タイムアウト(秒） 

® □グポート番号 

(9) ping コマンドタイムアウト(秒） 

® リカバリ方法 


RESTART 
STOP 
HALT 
REBOOT 
UNKNOWN 
⑩リトライ回数 
® サーバを （1 台目） 

⑩インタコネクトアドレス 
⑩サーバをに台目） 

© インタコネクトアドレス 
® グループさ） 

⑩ グループ 起動方法 


CLUSTERPRO AE 再起動 
CLUSTERPRO AE 停止 

0 S シャツトダウン 
0 S リブート 
不明 


AUTO 

MANUAL 

UNKNOWN 


自動 

手動 

不明 


® フェイルバック方法 


AUTO 

MANUAL 

UNKNOWN 


自動 

手動 

不明 


® 環境変数 
ACT-NORMAL 
ACT_FAILOVER 
DEACT-NORMAL 
DEACTJLLEGAL 
グループリカバリち法 


通常起動 
フェイルオーパ 
通常停止 
異常停止 






IGNORE 

RETRY 

STOP 

FAILOVER 

UNKNOWN 

リトライ回数 


無視 

再起動 

停止 

フェイルオーバ 
不明 


@運用系サーパを待機系サーバを 
(§) IPW リソースさ） 

@起動タイプ 
ASR 
USR 


:全起動リソース 
:単起動リソース 


© IPW リソース監視対象アドレス 
@ IPW リソースリカバリ方法 


IGNORE 
RETRY 
STOP 
FAILOVER 
UNKNOWN 
® リトライ回数 
@ FIP リソース名 
® 起動クイプ 

※ IPW リソ ースと 同様 
® 円ドアドレス 
® 円 P インタフェース 
® ping 回数 


無視 

再起動 

停止 

フェイルオーバ 
不明 


EXEC0 : aroupO-execo 
TYPE 

ACT path 
DEACT path 
POLLING 
PID 

RECOVER 
RETRY count 


USR . 

/opt/necfws/bin/cKcstat 
/opt/necfws/bin/cKcstat 

NO . 

21 白 23 . . 

STOP . . . 

0/0 ... 


EXECl : groupO-execl 
TYPE 

ACT path 
DEACT path 
POLLING 
PID 

RECOVER 
RETRY count 


USR 

/opt/necfws/bin/cKfwalive 

/opt/necfws/bin/cKfwalive -k 

YES 

21 白 2 己 

FAILOVER 

2/2 
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@ リトライ◎数 
© EXEC リソースを 
® 起動タイプ 

※ IPWU ソースと同様 
⑩ EXEC リソース起動時実行パス 
⑩ EXEC リソース停止時実行パス 
@ EXEC リソース監視設定 
《 IPW リソースと同様 
⑩ EXEC リソ ースプ □セス ID 
⑩ EXEC リソースリカバリ方法 
※ IPWU ソースと同様 
感リトライ回数 


# cipstat -n 

- interconnect information - 






address serverO serverl 



lyiii.ifoy . 丄 . 丄 UK UK 


丄丄 b け.^.丄 u ん ujs. 


address serverO serverl 


192.168 .1.2 OK OK 

192.168 .2.2 OK OK 


cipstat -n の各項目について 

① サーバを （1 台目） 

② サーバをに台目） 

③ サーパ' (1 台目）ステータス 

0プライマリインタコネクトアドレス/ステータス 
⑥セカンダリインタコネクトアドレス/ステータス 
⑥サーバに台目）ステータス 


逗 I arp 回数 

@円 P リソースリカバリち法 
《 IPW リソ ースと 同様 
® リトライ回数 
® PARP リソ ースを 
⑩起動タイプ 

《 IPW リソースと同様 
透） PARP アドレス 
® MAC アドレス 
⑩ PARP インタフエー ス 
⑩ ping 回数 
吸 arp 回数 

® PARP リ ソース リカバリち法 
《 IPW リソ ースと 同様 


①③^ ④⑥巧 
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運用系/待機系の切り替え-業務の起動/停止 

運用系/待機系の切替や、業務の起動/停止を行う場合、と J 下のコマンドを実行します。 

clpgrp -S [-h host name] [-g aroup_name] 

- t [-h host name] [-g group_name] 

-m [-h host name] [-g group_name] 

業務の起動/停止関連操作を行いまず。 


〈オプション〉 

-S . 業務の起動を行いまず。すでに起動されていたり、他のサーバで起動 

している場合には失敗します。 

-t . 業務の停止を行いまず。すでに停止されていたり、他のサーバで起動 

されている場合には失敗します。 

-m . 業務の実行サーバを切り替えまず。業務が起動しているサーバ側で実 

巧するあ要があります。 

-h hos し name . 操作対まサーバをです。指定なしの場合、コマンド実行サーバが対象 

となります。 - m オプション指を時には、業務移動元サーバの意巧も持 
ちます。 

-g group . name ....... 操作対まグループをちをします。指をなしの場合、全グループが対象 

とな U まず。 
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二重化構ぶの再セットアップ 

二重化構成の場合の再セットアップについて説明しまず。 

次の手順 I こ従って再インストールします。 

• 管理 サーバ 

Express 5800 / FW 30 日または FW 500を管理サーパにしている場合の Fi 「 eWall -1 管理サー 
バの再インス I ー ル I こついて説明します。 

1. 3 章の r 再セットアップ」-「システムの再インストール」の手順 7 までを巧う。 

2. 本章の 「 Fire 机 all - 1管理サーバのセットアップ」円 reWall -1 管理モジュールのコンフィグレー 
シヨン」を行う。 

3. 3 章の r 再セットアップ」-「システムの再インストール」の手順 9 を行い、管理サーバへバック 
アップをリストアする。 

• Firewall 本体 

円 rewall 本体の再インストール方法について説明します。 

1. 3章の r 再セットアップ」-「システムの再インストール」の手順7までを巧う。 

2. 本章の 「 Firewall 本体のセットアップ」 -「 Fi 巧机 all -1 の〕ンフィグレーシヨン」を巧う。 

• セキュリティポリシーをインス!ル 

セキュリティポリシーの再インストールについて説明しまず。 

1 . SmartDashboard から管理サーパへ接続し、円 「 eWalM 管理サーパと Firewall 本体との通信を行 
うための設をを巧う。 

Fire 邮 all -1 管理サーパと Firewal 味体との通信を行うための設定については、本章の「セキュリ 
ティポリシーの設を」- 「 Firewall オブジェクトの作成」を参照してくだきい。 

吕. Firewall 本体へセキュリティポリシーをインストールする。 

3. 運用系 Firewall 、 待機系 Rrewal 你順で再起動ずる。 
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注意-制限事頃 


Firewall 本体が 2 台上あ要です。また、ライセンスは同じ ユーザー 数のものをそれぞれ 
の実 IP アドレスで申請するあ要があります。 

自動フェイルバック時、接続されていたセッシヨンが切断される場合がありまず。 

フェイルオーバが発生した場合、 IKE セッシヨンは失われる可能性があります。 

自動フ I イルバックが設をされている場合、運用系サーバ再起動後，自動的に運用系 
サーバで業務が開始されます。自動フェイルバックが設定されていない場合は、待機系 
サーバで業務が起動されたままになり、運用系サーバのちが待機状態になります（運用 
系、待機あの逆転)。運用あサーパに業務を切り替える場合はコマンド (clpg 「 p-m) により 
サーバの切り替えを実行するか要がありまず。 

待機系で監視対象 IP アドレスとの通信途絕が発生している場合、運用あでリソース異常 
が発生しても待機系サーバに業務は引き継がれません。ただし、この場合でわコマンド 
(cipgrp-m) により業務実行サーバを切り替えることは可能でず。 
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〜 Memo . 
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